彩虹易支付存在的严重SQL注入漏洞正在被滥用

根据TG群组和Loc的消息，彩虹易支付程序上存在的漏洞可被利用来修改订单的支付状态，该程序被广泛用于发卡平台。

有黑客正通过 Telegram 机器人将利用该漏洞的攻击简易化、自动化，该机器人可被普通用户使用，黑客还为此开通了“付费会员”订阅功能。

黑客称，漏洞存在于易支付/码支付官方早期版本和衍生的二开版本，包括源支付的全部版本，零度码支付早期版本。（更新增加段落）

支付程序的开发商据信已了解漏洞的存在，正在修复。但由于该程序的安装网站不会立即更新到最新版本，黑客工具依然在许多情况下有效。

[消息等级 Level C2 · 简要]

搬瓦工49刀GIA和软银限量版补货

该机型可选择洛杉矶 DC6 DC9 的 CN2 GIA 机房及日本软银（JPOS_1）线路，配置为512内存,10 GB SSD,500GB月流量，售价为$49.99/年，是当前瓦工还会补货的最经济GIA线路机器。另外瓦工使用了技术手段，能够解锁ChatGPT。

DC6和DC9具有三网回程GIA；去程电信联通走GIA，移动直连，平峰延迟在160ms左右，高峰时期一般不超过230ms。日本软银是直连线路，对联通用户更友好，地利原因延迟较低。而论全天稳定性还是GIA比较可靠。建议下单时请选择需要的机房，此后切换机房会扣流量。该机型下单之后也可以切换其它普通机房。

https://bandwagonhost.com/aff.php?aff=47294&pid=94

循环优惠码：BWHCCNCXVV （6.78%）

[消息等级 Level C2 · 简要]

注意Vultr“免费”虚拟机产生的账单

如果你曾开通过vultr的免费云虚拟机，不要把它遗忘在角落里。因为起初最先行动起来“薅羊毛”的人已经收到了账单。

该虚拟机并非永久免费，一年到期后它会开始产生费用。这台1 vCPU，0.5 GB 内存，10GB 存储，2TB流量的机器每月收费5美元（按小时计费）。

被扣费的用户反映该机器似乎是从3月1日开始计费，而不是通常认为的免费结束后的第一天开始计算。不排除是Vultr计费系统错误。

开通过的用户记得到后台看一眼账单，释放不需要的机器以节约成本。

[消息等级 Level C2 · 简要]

关注复活节主机活动

传统基督教国家的复活节即将来临，在该时段，一些云主机厂商会开启一系列活动。与黑五不同的是，在复活节做活动的通常是一些中小型商家，RackNerd和CloudCone是此类活动的积极参与者，一些面向中国用户的厂商也会在该阶段推出自己的优惠。

2024年复活节(Easter Sunday)是3月31日。 复活节星期一(Easter Monday)是4月1日。 耶稣受难日(Good Friday)是3月29日。

[消息等级 Level C2 · 简要]

非洲云服务器的网络异常还将持续数周

由于上周连接非洲大陆的四条主要海底光缆受损，非洲部分电信公司通过巴西和陆上光缆重新路由流量，虽然恢复了部分连接，但是延迟加大。据其中一家运营商 MainOne 估计，恢复还需要三到五周的时间。

非洲云主机是近年来进入中文机圈的小众领域，对于那些手头有尼日利亚、南非云主机的用户来说，这个信息可能有用。

[消息等级 Level C2 · 简要]

OVH开启春季促销活动

该活动提供12个月内20~40%折扣的独服，提供公有云服务器的$200/€200体验积分。

VPS最大优惠为77%，在12个月内，每月支付$0.97（欧区为€0.81）。该VPS配置是1vCPU,2GB内存,20GB存储,100Mbps带宽,无限流量,具有抗DDoS能力。

该活动在美元区和欧元区提供，在具体不同国家的站点，活动细节可能有所不同。目前看没有发现特别亮眼的促销。

OVH可能会以中国不在其业务范围内为由停用中国用户的账号，非常重要的业务功能不建议放这里。

[消息等级 Level C2 · 简要]

搬瓦工正在对HK85机房进行维护

根据 Bandwagonhost status 服务状态网站的信息，太平洋夏令时 00:44（东8区15:44）起，该公司开始在香港机房执行紧急维护任务，这可能会影响节点 85XX 上托管的客户。预计在接下来 4 小时内可能会出现两次短暂的网络中断，每次 5-10 分钟。

截止发稿时，搬瓦工的第一阶段维护已经结束。

更新：维护已成功完成

[消息等级 Level C2 · 简要]

有用户表示自己通过邮件恢复了被封的甲骨文账号

有 HostLoc 用户发帖叙述了自己甲骨文被封后发送邮件恢复账号的经过。

起初该用户两步验证后得到包含有“NotAuthenticate”的JSON格式反馈，无法登录。于18号发送邮件给甲骨文客服，19号客服回复邮件恢复了他的账号。但是登录发现无权限，于是继续发送邮件，表示虽然能登录但没有权限并强调自己没有滥用服务。该邮件最终发挥作用，账号恢复如初。

但有人表示，这一案例不具有代表性，可能只是恰巧遇到“好人”。并且这种做法有一种风险，因为被封的账号信用卡能够用于重新注册的账号上，而无权限账号关联信用卡则不能。万一账号恢复登录却被拒绝恢复权限更是得不偿失。另外一些人则表达担忧，认为这给那些真正的滥用者恢复账号提供了一种新思路，最终会导致正常用户申诉的途径消失。

[消息等级 Level C2 · 简要]

小红卡 RedotPay 加强开卡验证，以及对该卡过甲骨文注册的了解

RedotPay已采取措施禁止手机号码与KYC地区不一致的账号开卡。这进一步提高了中国大陆用户使用该卡的门槛。由于大陆身份无法办理卡片，多数人会选择购买已通过KYC的账号。由于邀请开卡能够得到佣金，人们也有机会免费获得推广者“赠予”的账号。该卡能够将加密货币转换为法币消费，且能够在中国大陆ATM取现，它也常被用于需要外卡绑定的支付场景。已开卡用户暂不受影响，但是不排除小红卡会进一步要求二次验证身份的可能，而这对于那些使用虚假资料通过KYC的账号来说是巨大的风险。

KYC即“了解你的客户”，是金融行业常见的客户身份验证流程。

NodeSeek 网友 York618 在小红卡“车开走”后发帖表示，甲骨文在某种网络环境下使用小红卡能够顺利过关。他提供的注册环境是Edge无痕，HGC网络（香港家宽，部分机场可能会提供）+香港地址（繁体字）+小红卡+法国巴黎区域。他推测Oracle即便通过Cybersource来处理交易，Cybersource也会把交易卡信息告诉了甲骨文，且甲骨文的风控系统自动把卡发行地与注册IP联系在一起。VPS信号旗不能立即验证这种说法。

[消息等级 Level C2 · 简要]

腾讯云将作为《幻兽帕鲁》全球唯一指定合作伙伴

腾讯公关总监张军今天在微博宣布，腾讯云将作为《幻兽帕鲁》全球唯一指定合作伙伴，为日本、美国、韩国、新加坡、马来西亚和泰国等地提供专属服务器。

今年一月份，随着《幻兽帕鲁》游戏的上线，搭建个人服务器的需求骤增，一度推高了对高配置服务器的需求。各大服务器运营商抓住机会纷纷推出各自的适配服务器。

然而，当时间来到2月份，这波热潮迅速降温，人们为了游戏继续支付昂贵服务器费用的热情正在减退。本次腾讯云与该游戏的合作能否继续摘取果实是值得商榷的。

[消息等级 Level C2 · 简要]

免费域名eu.org的TLS连接被阻断

今天，来自论坛的信息显示中国大陆用户无法通过 HTTPS 协议访问使用免费域名eu.org的站点。目前，通过 HTTP 协议访问畅通，能够 ping 通。

据了解，eu.org实际上并不是一个顶级域（TLD），它不是由某个注册局直接管理的，而是一个普通的注册域名。所有用户申请到的都是该域名下的子域名。但是eu.org的子域能够通过 Cloudflare 的验证，一直是被许多人所青睐的域名。

[消息等级 Level C2 · 简要]

甲骨文部分地区的AMD服务器遇到网络问题

位于东京、首尔、阿姆斯特丹、圣地亚哥等多地甲骨文AMD服务器公网数据传输故障，ARM服务器正常。该故障最早出现在凌晨2点，截止目前尚未恢复。甲骨文的服务状态监测网站没有报告异常。

14:00 更新：AMD服务器网络正在恢复中

[消息等级 Level C2 · 简要]

甲骨文AMD服务器网络正在恢复

根据论坛及TG网友反馈的信息，甲骨文AMD服务器的网络问题正在缓解，公网连接逐步恢复中。同一个区域的不同服务器之间网络状况可能有所差异。

甲骨文AMD服务器从今天凌晨2点起出现的公网流量传输中断问题应该很快就会得到解决。

[消息等级 Level C2 · 简要]

Vultr 从服务条款中删除了对用户内容拥有商业权利的部分，CEO称条款被断章取义

云服务器提供商Vultr在网友们对其服务条款提出质疑后迅速修订了其服务条款。该条款声称对客户内容“拥有永久、不可撤销、免费”的权利。

Vultr 首席执行官 JJ Kardwell 今天早些时候告诉 The Register，这是一个标准法律文件被断章取义的案例。这些条款应该适用于其客户论坛帖子，而不是托管在Vultr上的私人服务器中的内容。

Kardwell 表示，内容条款与部署在其云中的用户数据完全独立，更针对用户对 Vultr 网站的使用，并强调相关细则的最后一行：“......以便向您提供服务。”在另一份声明中，该公司告诉 The Register，删除之后将对其服务条款进行全面审查和更新。

[消息等级 Level C · 一般]

关于小红卡RedotPay资质的帖子被NodeSeek设为私有

NodeSeek用户 Cx330 在3月22日发帖对该卡片在香港的资质提出了疑问，该帖引发了广泛的争议。今天（3月29日）他发布了一则措辞正式的帖子表示，在同RedotPay官方友好交谈后，同意了站长和RedotPay官方要求将帖子设私有的请求。

这次交流是在 NS 管理员的组织下进行的，NS管理员在回复网友时证实了这一点，“小红卡团队提供了他们的合规证明”，该管理员还透露说：“根据小红卡官方团队的反馈，『会升级风控措施，合规是其发展的基石』。同时，小红卡团队也承诺
『用户资金安全永远是第一位，任何时候都可以随时提取』。”他没有公布RedotPay提供的证明文件。

本频道未对RedotPay的资质问题进行详细调查亦没有证据表明或者证伪该卡存在某种问题。

[消息等级 Level C · 一般]

通过试用Google Fi接码来完成Voice注册

NodeSeek的网友 idear 提供了一个通过试用Google Fi来接码验证，从而获得Google Voice号码的办法。

Voice能够在美加地区提供免费的语音通话和短信服务。中国用户通常用来接码。然而要注册Voice并最终拿到号码需要有美国的网络环境以及一个美国实体手机号码。

Google Fi是谷歌的电话卡服务，现在它提供试用。这意味着你将能够利用它来解决注册Voice号码步骤中最为困难的一环。 试用地址

注意，要试用Google Fi要求手机支持eSIM，在7 天试用期结束后，将自动转至每月 50 美元的 Simply Unlimited 套餐，记得及时取消。

[消息等级 Level C2 · 简要]

黑客潜伏两年后向 xz-utils 添加后门影响多个 Linux 发行版，但影响有限，可防可控

本周五 Red Hat 警告用户在最新版本的 xz-utils 数据压缩工具和库中发现了一个后门。程序在 5.6.0 和 5.6.1 版本中引入了恶意代码。这些恶意代码旨在允许未经授权的访问，而且这些受影响的版本已经被多个 Linux 发行版合并，但 RHEL 不受此影响。Red Hat 目前正在跟踪此供应链安全问题，编号为 CVE-2024-3094 ，严重性评分为 10/10 。

xz 是被 Linux 发行版广泛使用的压缩格式之一， xz-utils (LZMA-utils)是一个开源项目，2022 年起有个名为 Jia Tan 的账号开始向该项目贡献代码，然后逐步接手该项目成为项目的主要贡献者，也是该项目当前唯一的活跃贡献者。恶意代码经过混淆，只能在完整的下载包中找到，而无法在 Git 发行版中找到，因为缺少触发后门构建过程的 M4 宏。该恶意代码会修改系统中的 OpenSSH ，使攻击者可以使用精心构造的数据跳过 RSA 密钥检验，在未授权情况下授予攻击者不受限制的访问权限。

目前看这个后门仅影响部分 Debian/Ubuntu/Fedora/openSUSE 的预发布版本，且均已发布回退更新。

[消息等级 Level B · #重要 ]

Xray代理面板3x-ui开发者账号被GitHub封禁

今天（3月30日）伊朗开发者MHSanaei的账号已被GitHub封锁，该用户开发的Xray代理应用面板3x-ui已无法打开。

目前无法确认是何种原因导致封号。

23:27 更新 ：仓库已经恢复

[消息等级 Level C · 简要]

阿里云将开启直播“卖云”优惠活动

今天（3月31日）晚间，罗永浩将在淘宝直播间直播销售阿里云产品。阿里云活动页面称将涵盖云服务器、云存储及企业网盘等阿里云热门云产品，“击穿全网底价”。

本次活动的时间是19:00-20:00，届时可能会有较大折扣。 查看活动页面

[消息等级 Level C · 简要]